אימות באמצעות Passkeys אינו חסין: מחקר חדש חושף חולשה קריטית

This post is also available in: English (אנגלית)

מחקר חדש שבוצע על ידי חוקרי אבטחה מחברת Proofpoint חשף חולשה חמורה במערכות אימות המבוססות על Passkeys, מה שמעורר חששות לגבי רמת ההגנה הנוכחית שלהן מפני מתקפות פישינג.

Passkeys, המבוססים על תקן FIDO2, נועדו לבטל את הצורך בסיסמאות ומשתמשים באמצעים כמו טביעת אצבע או זיהוי פנים כדי להיכנס למכשירים ולאתרים שונים. כך, הם מקודמים כחלופה מאובטחת ועמידה בפני פישינג. עם זאת, המחקר מצביע על כך שתוקפים יכולים לעקוף לחלוטין את שיטת האימות הזו על ידי ניצול פערי תאימות בין מכשירים ודפדפנים – מה שמוביל להורדת המשתמשים חזרה לשיטות כניסה מסורתיות ופחות מאובטחות.

על פי הדו"ח, שורש הבעיה הוא בתמיכה הלא אחידה ב-Passkeys בפלטפורמות שונות. לדוגמה, משתמש שמנסה להיכנס לחשבון מיקרוסופט באמצעות דפדפן Safari במערכת Windows לא יוכל להשתמש ב-Passkey. תוקפים יכולים לחקות תרחיש כזה על ידי זיוף של סוכן משתמש (User Agent) שאינו נתמך, ולגרום למשתמש לבחור באפשרויות גיבוי כמו סיסמאות ואימות דו-שלבי (MFA).

באמצעות כלי פישינג מותאם אישית (המכונה "Phishlet"), הדגימו החוקרים כיצד ניתן לנצל את תהליך ההורדה הזה לצורך תקיפה. ההתקפה מתחילה בקישור זדוני הנשלח באמצעים נפוצים כגון דוא"ל או הודעת טקסט. לאחר שהמשתמש לוחץ על הקישור ונתקל בשגיאה מדומה, הוא מתבקש לבחור שיטת כניסה חלופית.

בחירה בשיטה חלופית – כמו הזנת סיסמה או שימוש באפליקציית אימות – פותחת לתוקפים פתח ליירוט פרטי התחברות ועוגיות סשן (Session Cookies). עם עוגיית הסשן בידיהם, תוקפים יכולים להשתלט על הסשן ולקבל גישה מלאה לחשבון – מבלי להזדקק לאימות נוסף.

למרות שאין עדיין עדויות לשימוש בטכניקה הזו בפועל, החוקרים מזהירים כי מדובר בחולשה משמעותית. כל עוד שיטות כניסה ישנות ממשיכות לפעול לצד Passkeys, הסיכון יישאר קיים.

מומחי אבטחה מדגישים את הצורך עבור ארגונים להגביל את אפשרויות הגיבוי, ולפעול לקידום תמיכה אחידה יותר ב-Passkeys בכל הפלטפורמות, על מנת לסגור את פרצת האבטחה הזו.